Международна мрежа от сайтове и свързани с тях страници във Фейсбук събира само за няколко седмици десетки хиляди последователи в няколко европейски държави, включително България.
Разследването на БНТ установи, че управлението на мрежата е свързано с Армения.
Съдържанието в сайтовете е емоционално натоварено, от типа "кликбейт" - сантиментални и драматични истории, които обаче са напълно измислени и често крадени от други съмнителни сайтове. Разчита се на силната емоционална реакция на читателя и липсата му на критичност.
БНТ установи, че Фейсбук страниците към тези сайтове активно набират последователи, включително чрез използването на рекламни кампании, които са сходни като съдържание и период на действие в различните държави. Това сочи към координираност на дейността между отделните страници.
Подобни списъци с хиляди последователи в социалните мрежи могат да се използват и за таргетиране при развитието на конкретна дезинформационна кампания. Аргумент в тази посока е фактът, че държавите, в които тази мрежа се развива (основно България, Унгария, Чехия, Полша, Украйна) са сред основните цели на проруската пропаганда.
Сайтовете имитират дейността на т.нар. "кликбейт" ферми и на практика са превърнати в платформи за фалшиви реклами. По този начин, освен приходи от рекламодатели, платформата осигурява и възможност да се събира информация за профили в социалните мрежи и лични данни на потребители.
Сериозният ръст на последователи в отделните държави създава условия за по-лесен подбор на профили, които са податливи на подобен тип измами и манипулации.
Голяма част от сайтовете използват идентични темплейти - шаблони, които визуализират сайта. Съдържанието в тях е сходно и се разпространява по сходен начин.
Всичко това води към извода, че става въпрос за координирана международна мрежа, която таргетира потребители в различни държави за финансова изгода.
През 2022 година международната организация за борба с дезинформацията DFRLab публикува разследване на друга мрежа от Фейсбук страници и сайтове, която действа локално на територията на Украйна и също се ръководи от Армения. Установихме, че двете мрежи - тази в Украйна и тази в Централна и Източна Европа, която БНТ разкри, имат твърде сходен начин на действие.
Каква е икономическата изгода на мрежата от сайтове?
Сред целите на този мащабен проект е да отведе максимален брой потребители до линковете на десетки "сенчести" сайтове, в които са публикувани "нелегални" реклами (например реклами на продукти, които според закона не може да се продават по този начин, както и на несъществуващи услуги и стоки).
Тази схема се използва за финансови измами, кражба на лични и банкови данни, нелегални "продажби". Линковете към рекламите са разположени в сайтовете, до които потребителят достига чрез Фейсбук страниците.
Всяка интеракция с подобен сайт изисква потребителят да предостави своите данни и да изпрати пари, за да "получи" определена услуга или продукт.
Често "сенчестите" сайтове имитират официални страници на институции или организации, за да бъдат по-лесно подведени потребителите:
Как установихме съществуването на мрежата?
Разследването ни установи, че подобен тип сайтове са създадени за потребители в България, Унгария, Чехия, Полша, Украйна, Гърция и Франция.
В тях има вградени рекламен софтуеър, който следи поведението на потребителите, както и MGID code - идентификационен номер на рекламна платформа:
13 от сайтовете и Фейсбук страниците към тях споделят общи имейл, IP адрес и администратор с местоположение в Армения.
Други 13 сайта са регистрирани на същия IP адрес, както посочените по-горе. Данните за имейла, на който са регистрирани обаче, не са достъпни публично. Повече от тези сайтове нямат свързана към тях Фейсбук страница, но тези, които имат, отново са администрирани от Армения. Това не означава, че статиите им не се споделят в социалните мрежи, просто на сайта липсва връзка към такава страница.
Идентифицирахме и десетки сайтове на украински език с подобно неавтентично съдържание. Те съществуват от най-дълго време. Към тях има действащи Фейсбук страници, като във времето се сменят сайтовете, от които се споделят масирано линкове. Администраторите отново се локализират в Армения. Това са някои от тях:
Тази фейсбук страница на български език е пример как само за няколко седмици се натрупват почти 10 000 последователи и над 8 000 харесвания. Създадена е в началото на юни 2024 г.
Това се постига чрез публикуването на неавтентични истории, които обаче са достатъчно сантиментални и драматични, така че да привлекат подходящата публика, която не може да разграничи кое е истина и кое не.
При една значителна част от страниците на съответния език (основно за България, Унгария, Чехия и Полша) е посочен идентичен имейл адрес за връзка. Същевременно липсват други данни коя е компанията, организацията или екипът, които стоят зад проекта. В раздел "За нас" пише, че компанията Masters Blogging е основана през 2019 г. Не открихме данни за съществуването на такава компания.
Установихме, че на един IP адрес (виртуален адрес) има регистрирани близо 30 сайта на различни езици с подобен профил. Това са сайтове-клонинги, които са на един и същи сървър. В случая адресът е в Германия, но това не означава, че собственикът/собствениците на сайтовете са реално там. Това разминаване на реалното местоположение може да се постигне например чрез използването на VPN мрежа или прокси сървър.
Това са сайтовете, които се управляват през този IP адрес (основно сайтове на полски, унгарски, български, френски и гръцки език):
Прави впечатление, че имената на сайтовете нямат нищо общо със съдържанието в тях. Това са рециклирани домейни - продават се на търгове, след като им изтече валидността.
Сайтовете на украински език са на различен виртуален адрес. Много от статиите в българските версии са идентични на публикуваните там.
Как работи схемата?
ПЪРВИ ЕТАП - създаване на сайт и Фейсбук страница към него. Това е моделът, по който работи платформата през последната една година. Преди това често липсват данни за създавани Фейсбук страници. Всяка статия от сайта се качва във Фейсбук, това са около пет-десет статии на ден. Те разказват трогателни лични истории, които предизвикват силен интерес в определен тип публика. Чрез Фейсбук се осигурява необходимият трафик към домейните.
Домейните и на трите сайта звучат нетипично за българското онлайн пространство - universidy.com, traveloupe.com, divilay.com и afaqhotel.com.
Домейнът на "Вашият дневник" през 2021 година е бил собственост на хотел в Пакистан.
Архивираното копие на домейна на "Кристален вълк" през 2021 г представлява страница на руски сървър.
"Свобода на истината" през 2022 г. е бил сайт на украински език с името "Слава на Украйна". През 2023 г. се превръща в сайт на френски език - Chat Blanc, който вече е идентичен като структура с другите по-стари сайтове клонинги.
Домейнът на "Истории от живота" на 16 юли тази година носи името "Кристален вълк" - друг сайт на български от същата мрежа (това говори за клониране на структурата му):
При отварянето на "Кристален вълк" няколко елемента правят впечатление:
Адресът на компанията/организацията, който е посочен във Фейсбук, е фалшив;
Изображението на вълка на сайта е безплатна снимка от банка за снимки, което за професионален сайт, каквито претенции се заявяват, е съмнителна практика;
В раздел "Политика за поверителност" се забелязват няколко сериозни грешки - името на сайта е "Кристален вълк", в заглавието на страницата пише "Свобода на истината", а в самия текст се посочва чешкия сайт "Svoboda Pravdy" (част от същата мрежа сайтове). Това показва, че всички сайтове са правени с помощта на машинен превод.
Фалшив е адресът, посочен и във Фейсбук страниците "Истории от живота" и "Вашият дневник". Той е един и същ.
ВТОРИ ЕТАП - набиране на последователи.
В първите дни след създаването на Фейсбук страница към някои от сайтовете се стартира рекламна кампания, чиято цел е да събере последователи. И трите Фейсбук страници на български имат идентична рекламна кампания. Снимка с Исус Христос и текст към нея - "Ако и вие сте горди Българин и Християнин Кликнете на страницата". Текстът не звучи добре на български, не е и граматически издържан. Отново явно е използван машинен превод.
Същата снимка с текст на съответния чужд език е използвана и при рекламните кампании в други страни.
Според правилата на Фейсбук, тъй като не става въпрос за социална или политическа реклама, липсва информация за това колко струва и към кого е била насочена кампанията. Рекламите в "Кристален вълк" и "Истории от живота" според информацията са платени от La Louche и от Fioletowy. Връзката към тези профили обаче е неактивна.
Това е Фейсбук страницата към един от сайтовете на украински език с над 300 000 последователи. Създадена е още през 2021 година.
Във всяка от държавите, в които тази мрежа е разпространена, се наблюдава бърз ръст на последователите във Фейсбук.
ТРЕТИ ЕТАП - платформата препраща към фалшивите рекламни сайтове. Това е част от бизнес модела им - при отваряне на статия потребителят попада на стотици линкове - за продажба на фалшиви хранителни добавки, за покупка на талисмани, за инвестиране в биткойн и т.н. Обещават се невероятни резултати и отстъпки, ако се кликне на колелото на късмета или бутона за поръчка. Съдържанието в тези съмнителни линкове също е "кликбейт - информацията е под формата на сантиментален личен разказ, за да се привлече същата публика. Рекламите често изглеждат като част от оригиналния сайт, който потребителят е отворил, затова при кликане върху тях може и да не разбере, че е попаднал в друг сайт.
Това са "сенчести" сайтове - обикновено наподобяват сайт с голяма структура, но на практика всички линкове водят до определено място на единствената страница. Тези сайтове изискват доброволно да предоставите данни за себе си. При интеракция с такъв сайт е възможно да бъде активиран зловреден софтуеър и през него компютърът да стане уязвим за хакери.
Направихме експеримент - опитахме да скролнем до края на публикуваните връзки към "сенчести" сайтове под една статия - отне ни повече от минута.
Под тази статия, в която се предлага купуване на биткойн, има публикувани мнения на "клиенти", като визията наподобява Фейсбук коментари. Нито един от линковете в името им обаче не води до Фейсбук профил, а до други подобни страници или към самата статия, под която е поставен:
На този сайт видимо има несъответствие между снимките на мъже и женските имена, които стоят срещу тях:
Една от статиите в подобен сайт само за пет дни е отваряна над 27 хиляди пъти - поне така пише на самия сайт. Снимката на жената, която разказва личната си история и как закупуването на амулет й е донесло приходи, е редактирана стокова снимка от банка за снимки - сменена е главата на жената. Няма съмнение, че цялата история за внезапно забогатяване е напълно фалшифицирана. Тя обаче наподобява личните истории, които са довели потребителя до този линк, и след като той не е бил достатъчно критичен първия път, е вероятно това са се повтори. На това разчитат и създателите на платформата.
Тези страници не публикуват телефон за връзка. Винаги обаче изискват потребителя да предостави своя номер.
Защо подобен тип реклами са опасни?
Освен очевидната възможност да "купите" некачествен продукт, има и по-сериозна опасност:
Зловреден софтуер: чрез първото щракване върху фалшивата реклама може да се осъществи атака със злонамерен вграден код, който автоматично наводнява системата на потребителя със зловреден софтуер.
Фишинг измами: потребителят се насочва към връзка за регистрация или имейл, за да бъде открадната личната му информация.
Искане на откуп: Възможността за искане на откуп от хакери, за да се отблокира заразен компютър, може също да се вгради в кода на фалшивата реклама. Въпреки че подобни кибератаки са насочени към корпорации и правителствени организации, те могат да заразят и операционната система на обикновен потребител.
Кой стои зад тази международна мрежа от сайтове?
Всяка от десетките Фейсбук страници на различни езици е администрирана от хора, посочили Армения като свое местоположение. Например администраторите на "българската" страница "Кристален вълк" са двама.
В някои от случаите като платец и бенефициент на рекламите във Фейсбук има посочени имена. През рекламната библиотека установихме тези три арменски имена, които са извършвали плащания - Artur Sahakyan, Aida Purtoyan и Nune Bayramyan.
С всички сайтове-клонинги е свързан профил в LinkedIn. Той обаче няма нищо общо с домейна на сайта, а рекламира арменска компания, която според написаното в социалната мрежа работи в областта на технологиите, информацията и интернет.
При отваряне на сайта на компанията обаче става ясно, че това е фирма, която се занимава с архитектурни проекти. Освен това още в първите изречение на единствената страница е посочено името на друга компания - Etudes.
Същевременно сайтът е недовършен, липсват данни за контакт със самата компания и на него пише - Sample page - примерна страница.
Профилът на тази фирма в LinkedIn е свързан с един служител - IT специалист. Той е посочил, че е от Ереван, Армения. Работи във фирмата от септември 2022 година.
Сайтовете са свързани и с профил в X (бивш Туитър). Той обаче е празен - няма публикации, никой не го следва.
Профилът в Инстаграм също е празен. Един от 8те последователи е Nune Bayramyan - едно от лицата, посочени като платец на рекламата.
На повечето сайтове-клонинги има снимка на екипа, който стои зад проекта. Тя обаче е от банка за снимки - използва се от още десетки сайтове за онагледяване на публикациите им.
Руската връзка
При проверка на кода на един от тези "сенчести" сайтове на български език, на мястото, до което водят всички линкове на сайта (колелото на късмета), има надпис на руски - ОБЯЗАТЕЛЬНО! из GET запроса.
Останки от версия на руски език се откриват и в други сайтове:
В сайта на български "Вашият дневник" на 26 юли 2024 г. е публикувана трогателна семейна история. Откриваме същата история в сайт на украински език с дата на публикуване 10 октомври 2023 г. HTML кодът обаче показва, че в структурата на сайта има останки от руски език.
В сайтовете на български език съдържанието на статиите основно идва от руски източници. Имената, които се споменават са Дима, Юри, Александър Михайлович, Оксанка, Тамила, Игор и т.н.
Използват се крадени снимки от руската социална мрежа Vkontakte. Например снимката на младежа от статията по-долу е публикувана от него там през януари 2012 година и както сам е посочил е роден през 1975 година. Тази година ще навърши 49 години, докато според статията е на 33.
Отново в HTML кода на сайтовете на украински език има останки от руски език.
През 2022 година международната организация за борба с дезинформацията DFRLab публикува разследването на Роман Осадчук на друга мрежа от Фейсбук страници и сайтове, която действа локално на територията на Украйна и също се ръководи от Армения. В този период тези сайтове на украински публикуват предимно сантиментални военни истории, за да набират последователи.
Установихме, че двете мрежи - тази в Украйна и тази в Централна и Източна Европа, която БНТ разкри, имат твърде сходен начин на действие.